Sophos ha presentado dos informes sobre el papel de la inteligencia artificial (IA) en la ciberdelincuencia. En el primero, denominado «El lado oscuro de la IA: campañas de estafa a gran escala posibles gracias a la Inteligencia Artificial generativa», se destaca la posibilidad de que estafadores utilicen tecnologías como ChatGPT para realizar fraudes a gran escala con conocimientos técnicos mínimos en el futuro.
Por otro lado, el segundo informe, titulado «Los ciberdelincuentes no se ponen de acuerdo sobre los GPT», revela que los atacantes muestran escepticismo y preocupación respecto al uso de la Inteligencia Artificial como herramienta para sus ataques, a pesar del potencial de esta nueva tecnología. Y es que, aunque la IA actualmente les permite automatizar tareas sencillas, como la creación de imágenes y textos basados en IA generativa para llevar a cabo técnicas de ingeniería social, su uso en la ciberdelincuencia está en sus fases iniciales.
Christopher Budd, director de investigación de X-Ops de Sophos, afirma que “aunque desde el lanzamiento de ChatGPT ha habido una gran preocupación por el abuso de la IA y los LLM por parte de los ciberdelincuentes, nuestra investigación ha descubierto que, hasta ahora, los cibercriminales son más escépticos que entusiastas”.
El lado oscuro de la IA
Sophos X-Ops, mediante una sencilla plantilla de comercio electrónico y tecnologías LLM como GPT-4, ha desarrollado una página web completamente funcional. Esta incluye imágenes, audio y descripciones de productos generados por inteligencia artificial, así como un inicio de sesión falso en Facebook y una página de pago fraudulenta diseñada para capturar credenciales de inicio de sesión y datos de tarjetas de crédito de los usuarios. La creación y operación del sitio web requerían conocimientos técnicos mínimos, y utilizando la misma herramienta, los expertos de Sophos X-Ops pudieron generar cientos de portales web similares en minutos con un solo clic.
Según Ben Gelman, científico de datos sénior de Sophos, «es natural, y esperable, que los delincuentes recurran a las nuevas tecnologías para automatizarse. La creación original de emails de spam fue un paso crítico en la tecnología de estafa porque cambió la escala del campo de juego. Las nuevas IAs están preparadas para hacer lo mismo. Si existe una tecnología de Inteligencia Artificial que pueda crear amenazas completas y automatizadas, se acabarán utilizando. Ya hemos visto la integración de elementos de IA generativa en estafas clásicas, como textos o fotografías generados por Inteligencia Artificial para atraer a las víctimas.
Sin embargo, parte de la razón por la que realizamos esta investigación fue adelantarnos a los delincuentes. Al crear un sistema de generación de páginas web fraudulentas a gran escala, que es más avanzado que las herramientas que los delincuentes utilizan actualmente, tenemos una oportunidad única para analizar y prepararnos para la amenaza antes de que prolifere».
IA generativa: los cibercriminales desconfían del uso de cuentas de ChatGPT falsas para sus propios ataques
Los investigadores de Sophos X-Ops realizaron un análisis en cuatro de los principales foros de la dark web para evaluar la actitud de los atacantes hacia la inteligencia artificial. Aunque el uso de estas herramientas está en sus primeras etapas, los cibercriminales ya están discutiendo su potencial en ingeniería social, como se evidencia en estafas de criptomonedas basadas en el romance mediante aplicaciones de citas.
La mayoría de los debates en los foros se centraban en la venta de cuentas falsas de ChatGPT y jailbreaks para usos maliciosos. Sophos X-Ops también identificó diez derivados de ChatGPT que supuestamente podrían ser utilizados para lanzar ciberataques y desarrollar programas maliciosos. Sin embargo, hubo ciberdelincuentes que expresaron preocupación por posibles estafas relacionadas con estas imitaciones de ChatGPT.